Aspectos para Auditorías de Sistemas de Información y Tecnologías Informáticas
- Situación actual el
cliente - Definición de
Auditoría - Consultoría en
Normas, Estándares y Seguridad
Informática - Recomendaciones
de Mayor Prioridad - Conclusiones
- Estándares
de la Informática - Definición
de seguridad informática - Política
de seguridad - Análisis
y gestión de riesgos - Vulnerabilidad,
amenazas y contramedidas - Tipos
de vulnerabilidad - Tipos
de amenazas - Tipos
de medidas de seguridad o contramedidas - Planes
de contingencia
Principios fundamentales de la seguridad
informática- Diagramas
de Infra estructura informática
Óptima
El presente documento es una guía práctica
para las personas que desean conocer la situación de una
organización en relación a su
seguridad
informática.
Enumera los puntos a Auditar en el área IT. En
base a los resultados obtenidos de la Auditoría, se comparan con
estándares de la industria
informática y mejores prácticas
reconocidas.
El presente documento es un ensayo de
estándares de seguridad IT, tomando como base la tecnología más
comercial del mercado.
Además genera los cimientos para que se realice
una Consultorìa de seguridad que pueda llevar a la
organización a una certificación de seguridad
informática.
Este trabajo lo
realicé con el objetivo de
que personas e instituciones
que busquen una guía de cómo mejorar su seguridad
IT, tengan un punto de referencia.
Cristian E. R. Bailey E.
Consultor IT.
Las sociedades
avanzadas de fines del siglo XX son denominadas frecuentemente
sociedades de la información, pues el volumen de
datos que es
procesado, almacenado y transmitido es inconmensurablemente mayor
que es cualquier época anterior. Actualmente en el siglo
XXI la información es poder, por
ello las organizaciones la
valoran mucho.
Además, no sólo el volumen, sino la
importancia de esta información para el desarrollo
económico y social, no tienen ningún
antecedente con la que tuvo en el pasado. De hecho, en la
actualidad, las organizaciones consideran que la
información es un bien más de sus activos y en
muchos casos, prioritario sobre los restantes de la
organización.
Pero gran parte de esos datos que nosotros, o las
entidades de nuestra sociedad,
manejamos, han sido tratados, sea
durante su proceso, o
almacenamiento, o
transmisión, mediante las llamadas tecnologías de
la información, entre las que ocupa un lugar focal la
informática.
Consiguientemente, la seguridad de las
tecnologías de información, y por ende las
informática, se convierte en un tema de crucial
importancia para el continuo y espectacular progreso de nuestra
sociedad, e incluso para su propia supervivencia.
Por otro lado, la evolución en los últimos años
de las redes
informáticas y fundamentalmente de Internet, ha sido el factor
fundamental que ha hecho que la Seguridad Informática y
sus estándares cobrasen una importancia vital en el uso de
sistemas informáticos conectados.
Desde el momento en que nuestra computadora se
conecta a Internet, se abren ante nosotros toda una nueva serie
de posibilidades (Derechos y Obligaciones),
sin embargo éstas traen consigo toda una serie de nuevos y
en ocasiones complejos tipos de ataque. Más aun, mientras
en un ordenador aislado el posible origen de los ataques o
amenazas es bastante restringido, al conectarnos a Internet,
cualquier usuario de cualquier parte del mundo puede considerar
nuestro sistema un
objetivo apetecible (Vulnerabilidades).
Existe un acuerdo y conciencia
general sobre la importancia de la Seguridad de los
Sistemas de
Información
(denominado SSI). La SSI está relacionada con la
disponibilidad, confidencialidad e integridad de la
información tratada por las computadoras y
las redes de comunicación. Se usan comúnmente
otros términos que en esencia tienen el mismo significado,
tales como seguridad de la información, seguridad de las
computadoras, seguridad de datos o protección de la
información, pero en aras de la consistencia, usaremos el
término Seguridad de los Sistemas de
Información en las páginas
siguientes.
Los objetivos
fundamentales del presente tema son los siguientes:
- Introducir los procedimientos
adecuados para la revisión y auditoría del
área informática en Empresas u
Organizaciones. - Introducir el concepto de
Sistema de
Información, sus principales componentes y tipos de
información manejados. - Definir los conceptos básicos involucrados en
la seguridad informática como son la confidencialidad,
integridad y disponibilidad. - Definir cuales son las principales amenazas y
vulnerabilidades de un sistema informático, así
como los distintos tipos de medidas que podemos utilizar para
prevenirlas. - Definir que se entiende por política de
seguridad, cómo se fija y cuales son sus principales
contenidos. - Introducir algunos principios
básicos que subyacen en la aplicación de
cualquier política de seguridad
informática. - Realizar una Consultorìa de Seguridad para
una Empresa u
Organización que esta interesada en alcanzar los
estándares de Seguridad, u obtener una
certificación de seguridad.
En este documento se recomiendan seguir los
estándares de la informática que se mencionan a
continuación:
- INFORMACIÓN Y SISTEMA
INFORMÁTICO - ASPECTOS CLAVE EN LA SSI
- DEFINICIÓN DE SEGURIDAD
INFORMÁTICA - Confidencialidad
- Integridad
- Disponibilidad
- Autenticidad
- Imposibilidad de rechazo
- Consistencia
- Aislamiento
- Auditoría
- POLÍTICA DE SEGURIDAD
- ANÁLISIS Y GESTIÓN DE
RIESGOS - VULNERABILIDAD, AMENAZAS Y CONTRAMEDIDAS
- Vulnerabilidad
- Amenaza
- Contramedida
- TIPOS DE VULNERABILIDAD
- TIPOS DE AMENAZAS
- Intercepción
- Modificación
- Interrupción
- Generación
- Amenazas naturales o físicas
- Amenazas involuntarias
- Amenazas intencionadas
- TIPOS DE MEDIDAS DE SEGURIDAD O
CONTRAMEDIDAS - Medidas físicas
- Medidas lógicas
- Medidas administrativas
- Medidas legales
- PLANES DE CONTINGENCIA
- PRINCIPIOS FUNDAMENTALES DE LA SEGURIDAD
INFORMÁTICA - Principio de menor privilegio
- La seguridad no se obtiene a través de
la oscuridad - Principio del eslabón más
débil - Defensa en profundidad
- Punto de control centralizado
- SEGURIDAD EN CASO DE FALLO
- Participación universal
- Simplicidad
Para mayor información de cada uno de los temas
antes mencionados, pueden consultar la sección de este
documento denominada Estándares de la
Informática.
SITUACION ACTUAL EL
CLIENTE:
En la actualidad con los procesos de
Globalización que están aconteciendo
en el mundo las empresas deben adoptar estándares de
calidad y
seguridad mayores, para poder ser más competitivos, ya que
los mercados a los
que deben de incursionar así lo requieren.
Adicionalmente las empresas u organizaciones ven al
área de informática como un mal necesario dentro de
la organización, ya que generalmente solo representa
gastos y no es
palpable el retorno de inversión en informática. Esto
sucede generalmente porque en el crecimiento de la
organización no se tomo en cuenta al departamento de IT
como parte importante de la planeación
estratégica, lo cual indica que no asigna un papel
importante en el rol de la empresa. Esto
lleva a que los departamentos de informática son remitidos
a un segundo plano en la empresa u
organización, lo cual limita su crecimiento y recursos.
Esta visión de IT es Errónea debido a que
es la medula espinal del flujo de información que mantiene
a las empresas u organizaciones con información fresca y
oportuna es el departamento de informática, es simple de
demostrar, cuando una empresa se queda sin correo
electrónico (algo muy básico y cotidiano en la
actualidad) los gerentes o directivos dan un grito que se escucha
hasta en el cielo, pero aun así no captan la importancia
de área de IT (en pocas ocasiones toman la conciencia de
la importancia de IT).
El ingeniero(s) (generalmente es un equipo de técnicos con un
líder a
cargo de la actividad) que tiene la responsabilidad de ejecutar la auditoría de
sistemas, primero que nada debe concertar reuniones de
trabajo con los responsables de las áreas administrativas,
recursos
humanos, seguridad
industrial, con el objetivo de conocer cual es la
visión que tiene la empresa u organización del
valor de la
información y rol que tiene el departamento de IT de forma
global.
Al establecer estos puntos de vista, y tomar nota de los
mismos, podrá empezar su labor de auditoría en el
área, ya que generalmente las fortalezas o debilidades de
un departamento de informática inician por el concepto
global (visión, misión,
metas, objetivos empresariales u organizacionales)
que tiene una empresa del área a auditar.
Metodología basada en Riesgo vs.
Control vs. Coste. El auditor revisa o audita los controles con
la ayuda de una lista de control (checklist) que consta de una
serie de preguntas o cuestiones a verificar.
La evaluación
consiste en identificar la existencia de unos controles
establecidos.
Las listas de control suelen utilizarse por los
auditores, generalmente por auditores con poca experiencia, como
una guía de referencia, para asegurar que se han revisado
todos los controles.
La naturaleza
especializada de la auditoría de los sistemas de
información y las habilidades necesarias para llevar a
cabo este tipo de auditorías, requieren el desarrollo y
la promulgación de Normas Generales
para la Auditoría de los Sistemas de
Información.
La auditoría de los sistemas de
información se define como cualquier auditoría que
abarca la revisión y evaluación de todos los
aspectos (o de cualquier porción de ellos) de los sistemas
automáticos de procesamiento de la información,
incluidos los procedimientos no automáticos relacionados
con ellos y las interfaces correspondientes.
Para hacer una adecuada planeación de la
auditoría en informática, hay que seguir una serie
de pasos previos que permitirán dimensionar el
tamaño y características de área dentro del
organismo a auditar, sus sistemas, organización y
equipo.
A continuación, la descripción de los dos principales
objetivos de una auditoría de sistemas, que son, las
evaluaciones de los procesos de datos y de los equipos de
cómputo, con controles, tipos y seguridad.
En el caso de la auditoría en informática,
la planeación es fundamental, pues habrá que
hacerla desde el punto de vista de los dos objetivos:
- Evaluación de los sistemas y
procedimientos. - Evaluación de los equipos de
cómputo.
Para hacer una planeación eficaz, lo primero que
se requiere es obtener información general sobre la
organización y sobre la función de
informática a evaluar. Para ello es preciso hacer una
investigación preliminar y algunas entrevistas
previas, con base en esto planear el programa de
trabajo, el cual deberá incluir tiempo,
costo, personal
necesario y documentos
auxiliares a solicitar o formular durante el desarrollo de la
misma.
La auditoría de sistemas debe abarcar tres
grandes áreas:
- Auditoría de Infra Estructura
Física y
Lógica. - Auditoría de Aplicaciones y estaciones de
trabajo. - Auditoría de Sistemas y
su Administración.
Este tipo de auditorías generalmente son
realizadas por un equipo de expertos en diferentes ramas de la
informática, con el objetivo de poder revisar a fondo el
área asignada y utilizar herramientas
de software que
permitan obtener "Logs o
Bitácoras" de que esta aconteciendo en
cada área, con lo cual podrán analizar y dictaminar
el estatus de un departamento de informática.
Auditoría de Infra Estructura
Física:
Esta etapa de la auditoría es muy importante de
revisar, ya que en muchas ocasiones las empresas u organizaciones
poseen pocos recursos, y esto puede crear vulnerabilidades,
también existen situaciones opuestas en las cuales tienen
muchos recursos y están siendo sub utilizados.
Hay que revisar el Hardware
de los servidores que
utilizan, y el propósito de uso del servidor
en sí, con el objetivo de comprender si los recursos
que posee cada servidor son los
óptimos para prestar el tipo de servicio o
función para lo que ha sido designado. Hay que tomar en
cuenta que cada sistema operativo
de servidor consume una "X" cantidad de recursos de Memoria
RAM
y procesador, y
según el uso destinado deberán ser las
características del equipo analizado. Es conveniente que
se posean estudios de Benchmark
del caso, para poder tener parámetros de
comparaciones y recomendaciones.
Generalmente se pueden encontrar redes de tipo
LAN,
WAN, MAN
dentro de una institucion, por lo cual hay que revisar el
equipo y cableado que lo conforma.
Referente al cableado
estructurado (verificar que realmente cumpla con
este estándar) chequeando desde la categoría de
cable utilizado para cada punto de red, el tipo de
configuración que se utilizada para cada cable
(568 A o
B) y que dicha configuración sea la misma
en todos y cada uno de los puntos de red. Verificar con equipos
especiales la transmisión de datos de cada punto,
certificando que se esta cumpliendo con el estándar
mínimo de transmisión de paquetes por punto.
Establecer si se posee un plano del diseño
del cableado
estructurado en el cual se tiene la ubicación e
identificación de cada punto de red tanto en el edificio
como en el Patch panel respectivo. Idealmente el plano debe tener
identificado también el departamento, nivel, puesto que
tiene asignado cada punto de red, con lo cual se
simplificará la ubicación física del mismo.
Verificar que la distancia máxima de cada punto de red sea
de 90 metros del equipo activo y que el Patch
Cord de la estación de trabajo no sea
mayor a 10 metros, para cumplir con el estándar de
distancias máximas de 100 metros.
Seguidamente hay que revisar el diseño de la red
a nivel físico, esto significa revisar que tipo de
equipo
activo y equipo
pasivo que poseen. En relación al equipo
pasivo se debe verificar que los patch
panel sean los adecuados para la cantidad de
puntos de red existentes, de preferencia si el patch panel esta
usando una configuración de espejo previo a conectarse al
equipo activo del caso.
El equipo activo de una red LAN puede
estar conformado por una "X" cantidad de concentradores entre los
que se pueden encontrar
HUB o
SWITCH, de existir aun Hub en
una red es
recomendable reemplazarlos por Switch para que
se pueda mantener el
Qos de la red LAN. Ya que el
HUB no realiza Qos.
Hay que revisar que el Rack o
Gabinete sean aptos para el equipo pasivo y activo que soportan,
así como para el caso de que posean servidores de Rack. Se
debe verificar que posean tomas de corriente apta para la
cantidad de equipos que tiene cada estructura.
En los casos que la empresa u organización
están alojadas en un edificio de más de 3 niveles
se recomienda que se posea un BACK
BONE para comunicar los diferentes niveles del
edificio o edificios que conforman la red.
Así mismo colocar un equipo activo en cada nivel
del edificio para que brinde servicio a los diferentes puntos de
red, este equipo activo deberá contar con su respectivo
patch panel y estar alojados en un gabinete con llave para
protección del equipo activo como pasivo.
El equipo activo debe contar con un mínimo de 2
puertos de Fibra
Óptica o GBIC
los cuales se deben conectar a un Router
que atenderá a la red LAN y con esto se lograra
segmentar y direccionar correctamente el trafico de paquetes de
la red. Dicho Router debe
tener la capacidad de manejar la misma tecnología con que
recibirá la señal de los switch de cada
nivel.
Hay que tomar en cuenta que el área de servidores
debe poseer su propio Switch para servicio exclusivo de los
mismos, con lo cual se optimiza la
comunicación entre dicho FARM (granja de servidores) y esto permite que
el tiempo de respuesta en la comunicación entre servidores
sea óptimo. El Switch que se debe utilizar en este
segmento de red deberá ser de fibra
óptica o GBIC para que la velocidad de
comunicación y transferencia de paquetes sea excelente. Se
debe tomar en cuenta que los modelos de
servidores existentes soporten este tipo de tecnología de
redes.
En los casos que una empresa u organización posea
red WAN o MAN se debe establecer la cantidad de usuarios que hay
en cada oficina remota,
con lo cual se deben de revisar las configuraciones de cableado
estructurado de cada oficina, ya que deberán de cumplir
con lis estándares que se tienen en las oficinas
centrales. Al existir este tipo de redes se entiende que existe
un Router que tiene como objetivo brindarles servicio y optimizar
el tráfico de estas redes. Esto significa que dicho
tráfico accede únicamente al área de
servidores y muy poco o prácticamente nulo a la red LAN.
La razón del poco acceso o prácticamente nulo a la
red LAN central es porque todos los archivos o
programas
compartidos deben estar alojados en los servidores.
En esta fase no se audita aun el equipo
del Gateway
y/o Firewall
que pueda tener una empresa, ya que estos equipos son parte
de la infra estructura Física pero su funcionamiento y
configuración dependen de la infra estructura
Lógica de la red. Las únicas revisiones que se
deben de hacer son relacionadas a que cumplan con
estándares relacionados a cableado
estructurado.
Es importante recomendar que un auditor revise si el
equipo activo existente en la organización tiene las
facultades de administrarse de forma remota.
Auditoría de Infra Estructura
Lógica:
Esta etapa de la auditoría debe de revisar
múltiples áreas de la infra estructura, tales como
lo son:
- Diseño Lógico de la Red
LAN. - Diseño Lógico de la Red WAN o
MAN. - Diseño de DNS.
- Tipos de servicios o
aplicaciones que se ejecutaran en los servidores. - Fin o propósito de cada servidor y su
respectiva configuración. - Cantidad de usuarios a los que se presta servicio con
el objetivo de establecer si el performance de cada servidor es
el adecuado para las aplicaciones y cantidad de usuarios a los
que presta servicio.
Diseño Lógico de la Red
LAN.
Esta parte de una red abarca varias áreas, tales
como lo son las diferentes SUB
NET que se tendrán en la red, el
propósito de cada una de ellas, los servicios o
aplicaciones que correrán sobre dicha red.
En el caso de que una empresa u organización
posea un edificio de más de 3 niveles para sus oficinas,
es recomendable que se asigne una sub net para cada nivel del
edificio. Importante resaltar que los rangos de
direccionamiento IP
a utilizar deben ser de tipo privados. En caso de que se
utilice DHCP
es recomendable que se tengan bien definidos los grupos a los que
pertenece cada estación de trabajo, para que así se
pueda llevar un control de la sub net asignada a dicho grupo.
Para el área de servidores se debe de contemplar
tener direccionamiento FIJO y una sub net, especifica a la cual
apuntaran las estaciones de trabajo. Es recomendable que se haga
un buen diseño de las sub net y se deje documentado el
propósito de las mismas. Tomar en cuenta que los DNS y
el Gateway
deben pertenecer a un sub net diferente a la de cada nivel
o ubicación y a la del sub net de servidores, esto permite
que se tenga una mejor seguridad.
Diseño Lógico de la Red WAN o
MAN.
Tomar en cuenta que son parte de la misma empresa u
organización, la única diferencia es que
están retiradas de la central. Pero tienen derecho a
acceder a ciertas áreas de la red, específicamente
a servidores que les brindan algún tipo de servicio o
aplicación. Para ello es recomendable que se diseñe
un sub net que utilice direccionamiento
IP privado, de preferencia que sea fijo y no dinámico,
ya que esto simplifica la
administración remota.
Los DNS
generalmente son los mismos si tienen una sola salida al
Internet, y su GateWay es variante, según la dirección IP que nos
asigno el ISP para el enlace de punto a punto (esto varia
según cada escenario en el que practica la
auditoría). Aunque si hay servidores de DNS segundarios
que brindan servicios a locaciones remotas, es posible que esto
cambie. Es por ello que es importante que se posea documentación de cómo se estructuro
lógicamente la red.
Diseño de DNS.
En la mayoría de los casos una empresa u
organización en Latinoamérica empieza de ser una empresa
pequeña, después pasa a ser una empresa mediana. El
negocio o giro es bueno y los dueños crean otras empresas
que de igual manera tienen un crecimiento, posteriormente deciden
unificarlas.
Esto en la mayoría de casos es muy complejo y
difícil, ya que cada empresa tenia su propio domino, por
ende sus propios DNS. Al unificarse el dominio, se puede
complicar la unificación porque existen diversidad de
aplicaciones y servicios en cada empresa, que están
apuntando a su servidor de DNS. Al momento de integrar todas las
empresas inicia el problema, por ello es que se recomienda que se
tenga cuidado al realizar este tipo de consolidaciones
organizacionales y estructurales ya que esto puede repercutir
duramente en la red.
Hay que hacer un análisis y re configuración de los
DNS en estos casos y dejar bien configuradas las replicaciones o
re direccionamientos en casos de ausencias de un servidor
padre.
Tipos de servicios o aplicaciones que se ejecutaran
en los servidores.
Es importante tener claro las aplicaciones que utiliza
una empresa, como los son los
ERP,
CRM, SCM,
u otros, servicios como Correo Electrónico, File Server,
etc., las cuales se ubicaran en un "X" servidor, y la cantidad de
usuarios que accederán a dicha aplicación. Hay que
determinar que Benchmark se necesita para cada conexión de
usuario a la aplicación, para establecer si es correcta o
no la configuración Física (Hardware) del servidor,
con lo cual se puede establecer si el servidor posee suficientes
recursos para atender las necesidades de cada requerimiento de
conexión a la aplicación o servicio.
Fin o propósito de cada servidor y su
respectiva configuración.
Inicialmente un servidor se adquirió con un fin o
propósito especifico, y por ellos posee un Hardware capaz
de brindar servicios para dicho fin. En mi experiencia he
encontrado casos en que hay un servidor que esta haciendo 5 o 7
cosas mas de las que fueron su propósito inicial, y por
ello es que un servicio o aplicación presentan problemas de
respuesta o lentitud, ya que los recursos del Hardware son
menores a lo que requiere el Benchmark para el Software
de las 5 o 7 aplicaciones corriendo
simultáneamente.
Es por ello que se recomienda que un auditor verifique
el Propósito inicial con el que se adquirió un
servidor de arquitectura, y
en el caso de que no sea el adecuado se pueda hacer las
recomendaciones del caso.
Cantidad de usuarios.
Hay que establecer la cantidad de usuarios a los que se
presta servicio con el objetivo de establecer si el performance
de cada servidor es el adecuado para las aplicaciones y cantidad
de usuarios a los que presta servicio.
Auditoría de Aplicaciones:
Esta parte es muy compleja de revisar, ya que hay
múltiples factores a tomar en cuenta de la
aplicación a revisar, tales como:
- Lenguaje de Programación.
- Actualizaciones de la Aplicación.
- Fabricante.
- Trayectoria del Fabricante.
- Soporte en sitio.
- Tipo de base datos que utiliza.
- Diccionario de la estructura de la base de
datos. - Compatibilidad con programas generadores de reporte
de terceros. - Arquitectura de la aplicación.
- Métodos de acceso de los usuarios.
- Establecer si un usuario del mas bajo nivel puede
acceder a las partes mas delicadas de la aplicación, de
forma intuitiva, ya que hay que recordar que los
Hacker`s
mas cercanos que tenemos son los mismos usuarios por su
propia curiosidad humana en el mejor de los casos. - Revisar si la aplicación posee
bitácoras de tipo transaccional, con las cuales se pueda
hacer rastreos de lo ejecutado por cada usuario en su
sesión de trabajo.
Auditoría de Estaciones de
Trabajo:
Generalmente las empresas poseen un departamento de
recursos Humanos que tiene definidos los Roles, funciones,
atribuciones de cada uno de los empleados, por consiguiente
informática debe tener conocimiento
de que funciones tiene un empleado, para poder instalar el
Software necesario para el trabajo del
empleado. Así poder determinar que no tenga juegos o
herramientas que distraigan su atención, o que solamente consuman recursos
de la estación de trabajo necesarios para su trabajo
cotidiano. Por ello es que una empresa debe tener clara estas
definiciones. Además se debe revisar que los usuarios no
sean Administradores de sus equipos, para que no puedan instalar
SW (Software) a su discreción. Revisar que se posea el
licenciamiento de los programas instados en la estación de
trabajo. Hay que hacer las revisiones del caso con Software
destinado a realizar inventarios de HW
(Hardware) y SW instalados en la estación de
trabajo.
Auditoría de las instalaciones físicas
del departamento de Informática:
Esta parte es muy importante, ya que la seguridad
Física es parte fundamental, ya que las amenazas de este
tipo son latentes, los puntos a revisar son:
- Métodos de acceso al cuarto de
servidores. - Bitácoras de acceso al área de
servidores. - Sistema de monitoreo por medio de video.
- Bitácoras de Video.
- Temperatura ambiente del
área de servidores. - Circuito eléctrico independiente del cuarto de
servidores. - Sistema de protección de descargas electro
atmosféricas para el cuarto de servidores. - Ubicación, distribución de los Rack y
propósito del rack. - Sistemas detectores de Humo.
- Equipos para apagado de Fuego a base de
CO2. - Circulación del aire
acondicionado en el cuarto de servidores. - Canales aéreos de trasporte del cableado
estructurado que ingresa al cuarto. - Rack independiente para equipos activos y pasivos de
Voz, Datos, Video. - Mapas disponibles de los diferentes puntos de red y
su uso. - Métodos de limpieza del área de
servidores, frecuencia, entrenamiento
del personal que la realiza, etc.
Auditoría de los conocimientos del personal
del departamento de Informática:
Hay múltiples factores a evaluar según la
función y puesto del personal, ya que el perfil y
conocimientos de cada uno pueden variar según sus
funciones y atribuciones.
Generalmente hay 6 tipos de personal en IT:
- Gerente de Informática.
- Administrador(es) de red LAN, WAN.
- Administrador(es) de seguridad Perimetral e
interna. - Desarrolladores de aplicaciones.
- Administrador de bases de
datos. - Técnico de atención a
usuarios.
Según el puesto se recomienda hacer una
batería de pruebas en
conocimientos de las áreas que son responsables, para
conocer las fortalezas y debilidades, con el objetivo de
recomendar capacitación en las áreas
débiles.
Consultoría en Normas,
Estándares y Seguridad Informática.
Esto se logra mediante una AUDITORÍA sorpresa
para que se conozcan las condiciones cotidianas de trabajo de
la empresa u organización.- Revisión Estatus actual del área IT de
la Organización:Se logra al concluir las reuniones con la alta
dirección de la empresa, y acorde a la misión y
visión de la empresa u
organización. - Definición de Alcances de las necesidades de
la Organización:Resultado de la auditoría, así como de
las posibles quejas indicadas por el personal de IT, pero
generalmente son resultado de la auditoría como
tal. - Problemas y Riesgos
Encontrados en área IT: - Recomendaciones para lograr con cumplir con los
requisitos de la organización:
- Infra Estructura de Comunicaciones Red LAN.
Cada auditoría es un caso diferente y
único, por lo cual se deben de tratar como
independientes, lo que se toma como base son los
estándares de la industria informática en este
tema. Importante que se tengan como mínimo los equipos
adecuados para una red de este tipo.
- Infra Estructura de Comunicaciones Red
WAN.
Cada auditoría es un caso diferente y
único, por lo cual se deben de tratar como
independientes, lo que se toma como base son los
estándares de la industria informática en este
tema. Importante que se tengan como mínimo los equipos
adecuados para una red de este tipo. Para los enlaces de datos
es recomendable que se tenga previsto una tolerancia a
fallos por medio del ISP que esta brindando el servicio de
datos, es bueno tener redundancia.
- Redundancia en las Telecomunicaciones.
Una empresa debe poseer como mínimo 2 enlaces
de Internet y un número igual de direcciones IP Publicas
para que con esto tenga la factibilidad de
redundancia en casos de falla. Los anchos de Banda
dependerán del uso que se le de al Internet, así
como la cantidad de usuarios que tienen acceso al
servicio.
- Inventario de Hardware y Software
Organización.
El objetivo de esta actividad es poder tener claro que
tipos de equipos se están utilizando en la empresa u
organización, los modelos, y tipos, además de
saber que Software posee sus respectivas licencias por cada
equipo que lo tiene instalada.
Esto permite que el departamento de IT pueda llegar a
tener un estándar de equipos, con semejantes
configuraciones, y así al momento de tener que realizar
algún tipo de reparación, poder saber que tipo de
piezas son las que necesita, o si tiene en stock para una
sustitución mucho mas rápida.
Es muy conveniente que una empresa u
organización seria tenga todo el software que existe
dentro de sus equipos de cómputo, debidamente
licenciado, ya que esto les brinda un respaldo de tipo
legal.
El tener un inventario de
HW y SW permite que el personal de IT sean consientes de que
poseen y que pueden utilizar dentro de sus recursos.
- Definición de Políticas de Administración de Dominio.
Estas políticas son definidas en base a una
serie de temas a considerar, tales como:
- Misión, Visión de la
empresa. - Grupos de trabajo.
- Funciones y atribuciones de los grupos de
trabajo. - Definición de puestos y sus
funciones. - Establecer a que servicios o aplicaciones tiene
derecho el usuario o grupo de trabajo. - Horarios de trabajo.
- Políticas de seguridad física y
lógicas de la empresa u
organización.
- Definición de Políticas de uso
Recursos de la organización.
De igual forma estas políticas son definidas en
base a una serie de puntos a considerar, pero realmente son
más puntuales, tales como:
- Derechos de uso de impresoras
de red. - Cantidad de impresiones por usuario.
- Horarios de usos de los recursos.
- Correo electrónico
- Internet.
- Carpetas compartidas.
- Aplicaciones o herramientas de trabajo.
- Etc., son muy diversos los escenarios de cada
empresa u organización.
- Definición de Políticas de
Almacenaje de Información.
Este es un tema delicado desde cualquier punto de
vista, ya que dependen varios factores del mismo, tales
información generada por cada usuario,
información generada por las aplicaciones en sus
respectivas bases de datos, información de correos
electrónicos de la organización, etc.
Lo importante de resaltar en este tema es que el
almacenaje de información de usuarios debe ser
centralizado, con el objetivo de que sea fácil la
generación de copias de seguridad, y de forma
rápida. Esto minimiza el problema clásico de que
en las estaciones de trabajo se guardan los documentos de cada
usuario y que al tener problemas con su equipo o
estación de trabajo, pierden el acceso temporal o
definitivo a sus archivos.
Por ello es conveniente que se creen los denominados
FILE SERVER que tiene como propósito el almacenaje de
esta información de tipo labora.
Para aquellos archivos de tipo personal es conveniente
crear una política en la cual puedan guardar archivos en
su disco duro,
y que la capacidad de almacenaje no sea mayor a 700
MB.
Con relación a las herramientas o aplicaciones
de la empresa u organización, es recomendable que las
bases de datos sean monitoreadas diariamente, además de
crear las copias de respaldo del caso.
- Definición de Políticas de Back
Up.
El respaldo de la información de la empresa es
Vital y por ellos se debe tomar como una actividad diaria y de
prioridad alta.
Para ello se deben definir políticas de Back Up
que permitan tener copias de seguridad incrementales y totales
de la información tanto del FILE SERVER con del DB
SERVER, MAIL SERVER, etc., para que al momento de una problema
de tipo físico o lógico se pueda restaurar la
información en un tiempo prudente.
Mi recomendación personal es utilizar
herramientas de back up de Veritas, ya que son de muy buen
prestigio, además de fácil manejo.
Las políticas se deben de fijar en
función de nivel crítico de los datos, y del
volumen. La frecuencia de cada BACK
UP como mínimo debe ser diaria, semanal
y como máxima mensual.
Adicionalmente cada TAPE, DVD,
CD de
información debe ser almacenado en un lugar seguro y
debidamente etiquetado, con el objetivo de poder ser ubicados
correctamente.
Esta actividad debe ser presupuestada por el gerente de
área, ya que es un rubro importante.
- Definición de Políticas de Servicios
como Correo Electrónico e Internet.
Este tema es básicamente simple, pero
detallista, se deben de tomar en cuanta los siguientes
puntos:
1. Fijar la política de que usuarios deben
poseer correo electrónico, y el tipo de permisos del
correo electrónico, tales como correo externo, correo
entrante, saliente, tipo de archivos a recibir, tipo de
archivos a enviar.
2. Limitar el uso de herramientas de mensajera
instantánea.
3. Limitar el uso de Internet a usuarios que no deben
utilizarlo.
4. Limitar a páginas específicas en los
casos de que un usuario lo deba de tener que
utilizar.
5. Fijar horarios de uso del Internet para dichos
usuarios.
6. Adquirir software para monitorio y
administración del uso de Internet, este software debe
ser capaz de ligarse estrechamente a las políticas del
directorio maestro (Active Directory).
- Definición de Políticas de Mantenimiento
Preventivo – Correctivo de equipo de
cómputo.
En la mayoría de empresas u organizaciones
utilizan al personal de IT para hacer tareas de este tipo, pero
hay que reconocer que esto es un mal uso del personal
informático. Por ello se recomienda que sub contraten
servicios externos para este tipo de actividades, tales
como:
1. Contratación de una empresa que brinde el
servicio de mantenimiento preventivo de las estaciones de
trabajo. Este tipo de mantenimiento se recomienda que se haga
de forma Trimestral. Se deberá de incluir las
Computadoras e impresoras de la organización. Esta
empresa debe de tener personal calificado y de preferencia
certificado en mantenimiento de estaciones de trabajo e
impresoras.
2. Contratación de una empresa capaz de brindar
mantenimiento a los servidores de la empresa, esta empresa
deberá de tener personal certificado por el fabricante,
para dicha actividad. El ciclo de mantenimiento es semestral
para este equipo.
3. Contratación de un servicio de mantenimiento
de preventivo para equipo activo, por una empresa con personal
certificado en este equipo.
- Control de Acceso área de
Servidores.
Generalmente este tema se descuida, por ello es
importante tomar en cuanta lo siguiente:
1. Implementar herramientas electrónicas de
control de accesos, para que solamente el personal autorizado
pueda ingresar al área.
2. Implementación de sistema de monitoreo de la
temperatura
del cuarto de servidores.
3. Implementación de cámaras de video
para vigilar el acceso al área de servidores.
4. Implementación de detectores de
Humo.
5. Implementación de extinguidor de fuego, a
base de Co2.
- Administración IT.
Este es un tema muy complejo y delicado, ya que las
recomendaciones se basan en las evaluaciones que ha realizado
el auditor, tanto de conocimientos como de procedimientos y
hábitos del departamento de informática. Es
importante resaltar que debe ser una crítica constructiva, con el afán
de estandarizar procedimientos, conocimientos y funciones y
atribuciones de cada uno de los miembros.
- Definición de funcionamiento de
aplicaciones administrativo contables (ERP) y/o de
Administración de clientes
(CRM) u
otras.
Estas aplicaciones deben cumplir con los
estándares de la industria informática, deben ser
robustas, centralizadas, arquitectura cliente servidor, segura
y confiable, Base de datos segura y confiable, de fabricantes
de renombre, con una base instalada amplia (lo cual permite
obtener soporte local), que permita flexibilidad y seguridad
transaccional, que sea altamente parametrizable a las
necesidades de la empresa, debe ser un sistema transaccional
que refleja en tiempo real las transacciones que se
están realizando dentro del sistema, debe tener
capacidad multi empresa, multi sucursal, multi bodega,
multimoneda, un sistema capaz de no requerir cierres mensuales,
capaz de aceptar funcionalidades adicionales según las
características de la empresa, que sea capaz de
interactuar con otras aplicaciones de la empresa, debe de
manejar controles de acceso mediante la definición de
perfiles de cada usuario o grupo de usuarios, dándoles
un nivel de acceso limitado a las diferentes áreas de la
aplicación, capaz de manejar prioridades en el perfil de
cada usuario, mapas de
acceso, y procesos para el usuario especifico. Capacidad de
manejar la administración de la empresa de forma
fácil y amigable para los usuarios. Debe ser intuitiva.
La gestión de las empresas de hoy en
día se establece en 4 grandes áreas de la
empresa:
- ADMINISTRACIÓN: Donde se procesan diariamente
las operaciones de
Inventarios, Compras,
Cuentas por
Cobrar, Cuentas por
Pagar, Caja y Bancos,
Facturación o Ventas de la
empresa. - CONTABILIDAD: Donde se procesa de forma mensual las
transacciones de las áreas administrativas antes
mencionadas. - NOMINA: Proceso de administración del capital humano
y su remuneración, debe ser un sistema altamente
configurable a las necesidades de la empresa. - Administración de clientes (CRM) u
otras. - Se recomienda contemplar la adquisición de una
CRM por el tamaño de la organización. - Se recomienda adquirir una herramienta de Help Desk
para monitoreo del desempeño del departamento de
Informática.
- Cantidad de Direcciones IP
Públicas.
Es importante tener un inventario de las direcciones
publicas que posee la empresa, así como el uso o
propósito de cada una, ya que de no existir un control
de esto, estas direcciones se convierten en una vulnerabilidad
fuerte para la empresa u organización.
- Uso de servicios de accesos remotos (Web
Server)
Este servidor generalmente esta ubicado en una
DMZ,
y permite que usuarios remotos o externos, tengan acceso a
servicios o reportes que necesiten consultar.
Es importante que este tipo de servidores cuenten con
un muy alto nivel de seguridad y que exista un muy cercano
control de los accesos al mismo.
Muchas empresas u organizaciones utilizan herramientas
de acceso remoto para poder ingresar a estos portales, con lo
cual optimizar sus recursos tanto de performance de ancho de
banda como uso de servidor.
Página siguiente |